[Actualización 01/10/2025] Múltiples vulnerabilidades en productos Ixia Vision de Keysight
- Familia de productos Ixia Vision: Versiones 6.3.1.
El Centro de Ciberseguridad de la OTAN (NCSC) ha descubierto estas vulnerabilidades, una de severidad alta y 3 media, que podrían provocar el bloqueo del dispositivo al que se acceda o la ejecución remota de código.
[Actualización 01/10/2025]
Se ha añadido una nueva vulnerabilidad de severidad alta que podría permitir a un atacante interceptar o descifrar las cargas útiles enviadas al dispositivo
Actualizar a la última versión del producto.
Hay un salto de ruta (path traversal) que puede permitir la ejecución remota de código con una cuenta con privilegios de administrador (no se puede explotar con un usuario normal); esto en combinación con la funcionalidad de Guardar ('Upload') se podría aprovechar para ejecutar scripts (secuencias de códigos) arbitrarios o un binario que ya esté almacenado.
Esta vulnerabilidad, de severidad alta, tiene asignado el CVE-2025-24494.
El resto de vulnerabilidades son de severidad media y tienen asignados los códigos CVE-2025-24521, CVE-2025-21095 y CVE-2025-23416.
[Actualización 01/10/2025]
Keysight Ixia Vision presenta un problema con material criptográfico codificado que podría permitir a un atacante interceptar o descifrar las cargas útiles enviadas al dispositivo mediante llamadas a la API o autenticación de usuario si este no reemplaza el certificado TLS incluido con el dispositivo. La solución está disponible en la versión 6.9.1, publicada el 23 de septiembre de 2025.